Liste de contrôle : Planification des opérations dans un environnement sécurisé
L’exécution de BizTalk Server dans un environnement sécurisé nécessite des étapes supplémentaires pour le déploiement et la configuration. Bien que les installations de système d’exploitation par défaut n’aient pas besoin de les prendre en compte, mais les scénarios où des stratégies de sécurité restrictives ont été appliquées, vous devez prendre en compte les informations de cette section. Le niveau de restriction appliqué aux serveurs peut varier, mais les informations ci-dessous doivent couvrir la plupart des cas et constitueraient un bon point de départ.
Considérations relatives à la sécurité pour les ordinateurs exécutant BizTalk Server
Considérations relatives à la sécurité pour les ordinateurs exécutant SQL Server
Considérations relatives à la sécurité pour les ordinateurs exécutant BizTalk Server
Les informations suivantes suggèrent les paramètres liés à la sécurité sur les ordinateurs exécutant BizTalk Server.
Attribution des droits utilisateur
Pour démarrer le composant logiciel enfichable MMC Attribution de droits utilisateur, cliquez sur Démarrer, sur Outils d’administration, puis sur Stratégie de sécurité locale. Dans le composant logiciel enfichable MMC Stratégie de sécurité locale , développez Paramètres de sécurité, Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
| Paramètre de stratégie | Valeurs | Informations de référence et détails |
|---|---|---|
| Ouvrir une session en tant que service | Utilisateurs d'applications BizTalk | Requis pour exécuter des instances d’hôte BizTalk. Pour plus d’informations sur les différents comptes d’utilisateur, consultez Groupes Windows et comptes d’utilisateur dans BizTalk Server. |
| Ouvrir une session en tant que service | Compte de service De mise à jour RuleEngine | Requis pour exécuter le service de mise à jour RuleEngine. Pour plus d’informations sur les différents comptes d’utilisateur, consultez Groupes Windows et comptes d’utilisateur dans BizTalk Server. |
| Ouvrir une session en tant que service | Compte de service SSO | Requis pour exécuter enterprise single Sign-On Service. Pour plus d’informations sur les différents comptes d’utilisateur, consultez Groupes Windows et comptes d’utilisateur dans BizTalk Server. |
Services système
Pour démarrer le composant logiciel enfichable MMC Services, cliquez sur Démarrer, cliquez sur Exécuter, puis, dans la boîte de dialogue Exécuter , tapez services.msc et appuyez sur ENTRÉE.
Application système COM+ :
- Type de démarrage1 : Automatique
- Détails : Requis par BizTalk pour s’exécuter correctement
- Utilisateur2 : (par défaut)
Client DHCP :
- Type de démarrage1 : Automatique
- Détails : Obligatoire même si les adresses IP sont statiques
- Utilisateur2 : (par défaut)
Distributed Transaction Coordinator :
- Type de démarrage1 : Automatique
- Détails : Requis par BizTalk pour s’exécuter correctement
Les comptes d’utilisateur suivants ont besoin d’autorisations pour ce service :
| Utilisateur 2 | Autorisations | Détails |
|---|---|---|
| Compte de service SSO | Contrôle total | Requis pour démarrer le service d’authentification unique |
| Compte de service hôtes BizTalk | Contrôle total | Requis pour démarrer des hôtes BizTalk |
| Service réseau | Contrôle total | Requis par IIS |
HTTP SSL3 :
- Type de démarrage1 : Automatique
- Détails : Requis par IIS
- Utilisateur2 : (par défaut)
Services IPSEC3 :
- Type de démarrage1 : Automatique
- Détails : IPSEC augmente la sécurité réseau si elle est utilisée
- Utilisateur2 : (par défaut)
Netlogon :
- Type de démarrage1 : (par défaut)
- Utilisateur2 : Service local
- Autorisations : Contrôle total
Fournisseur de support de sécurité NT LM3 :
- Type de démarrage1 : Automatique
- Détails : requis pour l’authentification Kerberos pour BizTalk Server dans SQL
- Utilisateur2 : (par défaut)
Accès à distance Gestionnaire des connexions :
- Type de démarrage1 : (par défaut)
Les comptes d’utilisateur suivants ont besoin d’autorisations pour ce service :
| Utilisateur 2 | Autorisations | Détails |
|---|---|---|
| Compte de service SSO | Contrôle total | Requis pour démarrer le service d’authentification unique |
| Compte de service hôtes BizTalk | Contrôle total | Requis pour démarrer des hôtes BizTalk |
| Service réseau | Contrôle total | Requis par IIS |
Localisateur d’appel de procédure distante (RPC) :
- Type de démarrage1 : Automatique
- Détails : requis par BizTalk
- Utilisateur2 : (par défaut)
Service de découverte automatique du proxy web WinHTTP :
- Type de démarrage1 : (par défaut)
Les comptes d’utilisateur suivants ont besoin d’autorisations pour ce service :
| Utilisateur 2 | Autorisations | Détails |
|---|---|---|
| Compte de service SSO | Contrôle total | Requis pour démarrer le service d’authentification unique |
| Compte de service hôtes BizTalk | Contrôle total | Requis pour démarrer des hôtes BizTalk |
1 Une valeur de (par défaut) signifie que les paramètres par défaut appliqués par la stratégie de sécurité ne sont pas modifiés
2 Une valeur de (par défaut) signifie que les autorisations utilisateur par défaut pour le service n’ont pas été modifiées
Paramètres du Registre
Pour démarrer l’Éditeur du Registre, cliquez sur Démarrer, sur Exécuter, puis dans la boîte de dialogue Exécuter , tapez regedit et appuyez sur ENTRÉE.
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- Utilisateur : Service réseau
- Autorisations : Contrôle total
- Détails : Requis par le service client DHCP
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- Utilisateur : Service réseau
- Autorisations : Contrôle total
- Détails : Requis par le service client DHCP
Considérations relatives à la sécurité pour les ordinateurs exécutant SQL Server
Les informations suivantes suggèrent les paramètres liés à la sécurité sur les ordinateurs exécutant SQL Server.
Attribution des droits utilisateur
Pour démarrer le composant logiciel enfichable MMC Attribution de droits utilisateur, cliquez sur Démarrer, sur Outils d’administration, puis sur Stratégie de sécurité locale. Dans le composant logiciel enfichable MMC stratégie de sécurité locale , développez Paramètres de sécurité, Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
| Paramètre de stratégie | Valeurs | Référence et détails |
|---|---|---|
| Agir en tant que partie du système d'exploitation | compte de service SQL Server Agent, compte de service SQL Server | Obligatoire pour exécuter SQL Server. Pour plus d’informations, consultez Configuration des comptes de service Windows. |
| Ajuster les quotas de mémoire pour un processus | compte de service SQL Server Agent,compte de service SQL Server | Obligatoire pour exécuter SQL Server. Pour plus d’informations, consultez Configuration des comptes de service Windows. |
| Contourner la vérification de parcours | compte de service SQL Server Agent,compte de service SQL Server | Obligatoire pour exécuter SQL Server. Pour plus d’informations, consultez Configuration des comptes de service Windows. |
| Créer des objets globaux | Compte de service SQL Server | Requis par le service SSIS. Pour plus d’informations, consultez Configuration des comptes de service Windows. |
| Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation | Compte de service SQL Server, serveurs SQL Server, serveurs BizTalk Server, nom du cluster SQL Server | Requis par BizTalk Server. Le nom du serveur se présente sous la forme <nom_>serveur$. Pour plus d’informations, consultez Guide pratique pour activer l’authentification Kerberos sur un cluster de basculement SQL Server. |
| Ouvrir une session en tant que service | compte de service SQL Server Agent,compte de service SQL Server | Obligatoire pour exécuter SQL Server. Pour plus d’informations, consultez Configuration des comptes de service Windows. |
| Ouvrir une session en tant que service | Compte de service d’authentification unique | Obligatoire pour exécuter enterprise single Sign-On Service. Pour plus d’informations sur les différents comptes d’utilisateur, consultez Groupes et comptes d’utilisateur Windows dans BizTalk Server. |
| Ouvrir une session en tant que travail par lots | compte de service SQL Server Agent,compte de service SQL Server | Obligatoire pour exécuter SQL Server. Pour plus d’informations, consultez Configuration des comptes de service Windows. |
| Remplacer un jeton de niveau processus | compte de service SQL Server Agent,compte de service SQL Server | Obligatoire pour exécuter SQL Server. Pour plus d’informations, consultez Configuration des comptes de service Windows. |
Services système
Pour démarrer le composant logiciel enfichable MMC Services, cliquez sur Démarrer, cliquez sur Exécuter et, dans la boîte de dialogue Exécuter , tapez services.msc et appuyez sur ENTRÉE.
Client DHCP :
- Type de démarrage1 : Automatique
- Détails : Obligatoire même si les adresses IP sont statiques
- Utilisateur2 : (par défaut)
Coordinateur de transactions distribuées :
- Type de démarrage1 : Manuel
- Détails : Démarrage du service géré par le service de cluster
Les comptes d’utilisateur suivants ont besoin d’autorisations pour ce service :
| Utilisateur 2 | Autorisations | Détails |
|---|---|---|
| Compte de service d’authentification unique | Contrôle total | Obligatoire pour démarrer le service d’authentification unique |
| Service réseau | Contrôle total | Requis par IIS |
HTTP SSL3 :
- Type de démarrage1 : Automatique
- Détails : Requis par IIS
- Utilisateur2 : (par défaut)
Services IPSEC3 :
- Type de démarrage1 : Automatique
- Détails : IPSEC augmente la sécurité réseau si elle est utilisée
- Utilisateur2 : (par défaut)
Netlogon :
- Type de démarrage1 : (par défaut)
- Utilisateur2 : Service local
- Autorisations : Contrôle total
Fournisseur de support de sécurité NT LM3 :
- Type de démarrage1 : Automatique
- Détails : Requis pour l’authentification Kerberos pour BizTalk Server dans SQL
- Utilisateur2 : (par défaut)
Accès à distance Gestionnaire des connexions :
- Type de démarrage1 : (par défaut)
Les comptes d’utilisateur suivants ont besoin d’autorisations pour ce service :
| Utilisateur 2 | Autorisations | Détails |
|---|---|---|
| Compte de service d’authentification unique | Contrôle total | Requis pour démarrer le service d’authentification unique |
| Service réseau | Contrôle total | Requis par IIS |
Serveur :
- Type de démarrage1 : Automatique
- Détails : utilisé pour les ressources de partage de fichiers en cluster
- Utilisateur2 : Service réseau
- Autorisations : Contrôle total
Service de découverte automatique du proxy web WinHTTP :
- Type de démarrage1 : (par défaut)
- Utilisateur2 : compte de service SSO
- Autorisations : Contrôle total
- Détails : requis pour démarrer le service d’authentification unique
Service de publication World Wide Web :
- Type de démarrage1 : Automatique
- Détails : requis par SQL Server Reporting Services
- Utilisateur2 : (par défaut)
1 La valeur (par défaut) signifie que les paramètres par défaut appliqués par la stratégie de sécurité ne sont pas modifiés.
2 La valeur (par défaut) signifie que les autorisations utilisateur par défaut pour le service n’ont pas été modifiées
Paramètres du Registre
Pour démarrer l’Éditeur du Registre, cliquez sur Démarrer, cliquez sur Exécuter, puis, dans la boîte de dialogue Exécuter , tapez regedit et appuyez sur ENTRÉE.
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- Utilisateur : Service réseau
- Autorisations : Contrôle total
- Détails : requis par le service client DHCP
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- Utilisateur : Service réseau
- Autorisations : Contrôle total
- Détails : requis par le service client DHCP
Considérations supplémentaires relatives à la sécurité
Le tableau suivant suggère les autres paramètres importants liés à la sécurité pour votre environnement BizTalk Server.
| Artefact affecté | Modifier | Informations de référence et détails |
|---|---|---|
| Compte de service SSO | Accorder une autorisation de contrôle total sur le cluster dans le Gestionnaire de cluster | Cette modification est nécessaire pour que l’authentification unique fonctionne correctement |
| Compte de service SQL Server, serveurs SQL Server, serveurs BizTalk Server, nom du cluster SQL Server | Approbation pour la délégation dans Active Directory | Requis pour l’authentification Kerberos appropriée. Pour plus d’informations, consultez Guide pratique pour activer l’authentification Kerberos sur un cluster de basculement SQL Server. |
| Compte de service SQL Server | Accorder l’autorisation de créer des entrées SPN | Requis pour l’authentification Kerberos appropriée. Pour plus d’informations, consultez Utilisation de l’authentification Kerberos dans SQL Server. |
| SQL Server nœuds, nom du cluster SQL | Créer des entrées SPN pour le compte de service SQL Server utilisateur | Requis pour l’authentification Kerberos appropriée. Pour plus d’informations, consultez Utilisation de l’authentification Kerberos dans SQL Server. |
| Ressource de cluster nom de réseau SQL | L’inscription DNS doit réussir, Activer l’authentification Kerberos | Requis pour l’authentification Kerberos appropriée |
| configuration SQL Server Surface | Activer la connexion administrateur direct à distance | Requis par le service SQL Browser pour fonctionner correctement, ce qui est requis par les clients SQL (BizTalk/ASP.NET) pour localiser correctement SQL Server nommé instance. |
| Groupe Utilisateurs de l’application BizTalk | Accorder l’autorisation Exécuter sur sp_help_jobhistory dans la base de données msdb | Requis par BizTalk Server |